QRadar Network Insights コンテンツ拡張
IBM QRadar Network Insights Content Extension は、より多くの QRadar® ルール、レポート、検索、およびカスタム プロパティを管理者に提供します。 このカスタム・ルール・エンジンのコンテンツは、 QRadar Network Insights デプロイメントの分析、アラート、およびレポートの提供に焦点を当てています。
QRadar Network Insights は、ネットワーク通信をリアルタイムで詳細に可視化して、 IBM QRadar SIEM デプロイメントの機能を拡張します。 ネットワーク・アクティビティーとアプリケーション・コンテンツの詳細な分析により、 QRadar Network Insights は、 QRadar Sense Analytics が、他の方法では気付かれない脅威アクティビティーを検出できるようにします。
- IBM QRadar Network Insights コンテンツ拡張 1.6.0
- IBM QRadar Network Insights コンテンツ拡張 1.5.2
- IBM QRadar Network Insights コンテンツ拡張 1.5.1
- IBM QRadar Network Insights コンテンツ拡張 1.5.0
- IBM QRadar Network Insights コンテンツ拡張 1.4.0
- IBM QRadar Network Insights コンテンツ拡張 1.3.0
- IBM QRadar Network Insights コンテンツ拡張 1.2.2
- IBM QRadar Network Insights コンテンツ拡張 1.2.0
- IBM QRadar Network Insights コンテンツ拡張 1.1.0
IBM QRadar Network Insights コンテンツ拡張 1.6.0
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.6.0で新しく導入されたルールを示しています。
| 名前 | 説明 | 最低限必要な QRadar バージョン |
|---|---|---|
| QNI: 保護状態が適切ではないサービスへのアクセス - BitTorrent ハンドシェーク検証失敗 (BitTorrent Handshake Verification Failure) | BitTorrent ネットワーク通信でハンドシェーク検証に失敗したことが検出された場合にトリガーされます。 | 7.4.0 |
| QNI: 保護状態が適切ではないサービスへのアクセス - 証明書のサブジェクト代替名が DNS ではない (Certificate Has Non-DNS Subject Alternative Name) | DNS 項目ではないサブジェクト代替名が設定された X509 証明書が検出された場合にトリガーされます。 この接続は疑わしいものと見なされる場合があります。 | 7.3.3 |
| QNI: 保護状態が適切ではないサービスへのアクセス - 非推奨の TLS バージョンが使用されている (Deprecated TLS Version in Use) | IBM QRadar Network Insights が非推奨の TLS セッションを検出するとトリガーされます。 NIST 資料 800-52、および TLS の実装に関する ACSC の勧告によると、TLS 1.0 および 1.1 は推奨されません。 | 7.3.3 |
| QNI: 保護状態が適切ではないサービスへのアクセス - Kerberos で非推奨または不明な暗号スイートが使用されている (Kerberos Deprecated or Unknown Cipher Suite in use) | 非推奨または不明な暗号スイートが Kerberos 通信に使用されている場合にトリガーされます。 | 7.4.3 |
| QNI: 保護状態が適切ではないサービスへのアクセス - RDP セッションが暗号化されていない (RDP Session Without Encryption) | 暗号化されていない RDP セッションが使用されている場合にトリガーされます。 詳しくは、ACSC の勧告 (https: //www.cyber.gov.au/acsc/view-all-content/publications/using-remote-desktop-clients) を参照してください。 | 7.3.3 |
| QNI: 保護状態が適切ではないサービスへのアクセス - RDP セッションにRDP 拡張セキュリティーが使用されていない (RDP Session Without Enhanced RDP Security) | RDP 暗号化レベルが検出された場合にトリガーされます。これは、RDP 拡張セキュリティーが使用されておらず、接続がセキュアでない可能性があることを意味する場合があります。 RDP 拡張セキュリティーが使用されている場合は、RDP ではなく他のネットワーク・プロトコルがネットワークに表示されます。 例えば、TLS で暗号化された RDP セッションは TLS として表示されます。 | 7.3.3 |
| QNI: 保護状態が適切ではないサービスへのアクセス - 使用するべき署名アルゴリズムに署名アルゴリズムが一致していない (Signature Algorithm Does Not Match To-Be-Signed Signature Algorithm) | 使用するべき署名アルゴリズムに一致していない署名アルゴリズムが設定された X509 証明書が検出された場合にトリガーされます。 この接続は疑わしいものと見なされる場合があります。 | 7.3.3 |
| QNI: 保護状態が適切ではないサービスへのアクセス - SSL が使用されている (SSL in Use) | IBM QRadar Network Insights が SSL セッションを検出するとトリガーされます。 NIST 資料 800-52 によると、SSL はどのバージョンも使用するべきではありません。 代わりに TLS の最新バージョンを使用してください。 | 7.3.3 |
| QNI: 保護状態が適切ではないサービスへのアクセス - 非推奨の TLS 暗号スイートが使用されている (TLS Unrecommended Cipher Suite in Use) | IBM QRadar Network Insights が、NIST 資料 800-52r2で推奨されていない暗号スイートを TLS 1.3 または TLS 1.2 セッションが使用していることを検出した場合にトリガーされます。 注: 「 QNI: TLS 1.3 Recommended Cipher Suites 」リファレンス・セットと「 QNI: TLS 1.2 Recommended Cipher Suites 」リファレンス・セットには、事前にデータが設定されています。 適切な暗号スイートを指定して、これらのリファレンス・セットを調整してください。
|
7.3.3 |
| QNI: 組み込みスクリプトが検出されました (Embedded Script Detected) | ネットワーク上で監視されているファイル内に組み込みスクリプトが検出された場合にトリガーされます。 これには、Office ドキュメント内のマクロや、PDF ファイルに埋め込まれた JavaScript が含まれる場合があります。 | 7.3.3 |
IBM QRadar Network Insights コンテンツ拡張 1.5.2
IBM QRadar Network Insights コンテンツ拡張 1.5.2 は、 QRadar Network Insights 7.3.3 以降をサポートします。
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.2で新しく導入された、または更新されたカスタム機能を示します。
| 名前 | 説明 |
|---|---|
| get_extension (get_extension) | 入力されたファイル名からファイル拡張子を抽出します。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.2で更新されたルールを示しています。
| 名前 | 説明 |
|---|---|
| QNI : Access to Improperly Secured Service - Weak Public Key Length | QRadar Network Insights は、公開鍵のビット・カウントが低い証明書を使用する SSL/TLS セッションを検出しました。 強度の低い公開鍵の証明書 (1024 ビット未満) を提示するサーバーは、セキュリティー・リスクである可能性があります。 NIST の資料 800-57 に従い、2011 年以降の推奨される鍵の最小の長さは、RSA では 2048 ビット、ECDSA では 256 ビットです。 |
| QNI: ファイル拡張子/コンテンツ・タイプの検証 | ファイル名からファイル拡張子を抽出し、 QRadar Network Insightsによって決定されたコンテンツ・タイプと比較します。 次に、これらの 2 つの値は、予期されたファイル拡張子/コンテンツ・タイプのペアを保持する「QNI-Extension-ContentType-Pairs」リファレンス・セットと比較されます。 このルールは、ファイル拡張子がその拡張子で通常受け入れられるコンテンツ・タイプと異なる場合、および拡張子が「QNI : File Extension / Content Type Verification Exclusions」リファレンス・セットに含まれていない場合にトリガーされます。 例えば、ファイル拡張子 .txt は通常 デフォルトでは、このルールはオフェンスを作成しません。 このルールをトリガーしたフローを表示するには、「File Extension / Content Type Mismatches」検索を使用します。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.2で更新されたセットのリファレンス・マップを示します。
| 名前 | 説明 |
|---|---|
| QNI-Extension-ContentType-Pairs | ファイル拡張子を、予期されたコンテンツ・タイプにマップします。 このセットのリファレンス・マップには、1234 個のエントリーが取り込まれています。 例えば、.html は text/htmlにマップされます。 |
IBM QRadar Network Insights コンテンツ拡張 1.5.1
IBM QRadar Network Insights コンテンツ拡張 1.5.1 は、 QRadar Network Insights 7.3.2 以降をサポートします。
次の表では、 IBM QRadar Network Insightsコンテンツ拡張 1.5.1で更新されたルールを示しています。
| 名前 | 説明 |
|---|---|
| QNI: ファイル拡張子/コンテンツ・タイプの検証 | ファイル名からファイル拡張子を抽出し、 QRadar Network Insightsによって決定されたコンテンツ・タイプと比較します。 これらの 2 つの値が、ファイル拡張子/コンテンツ・タイプの予期されるペアが入った QNI-Extension-ContentType-Pairs リファレンス・セットと比較されます。 ファイル拡張子がその拡張子で通常受け入れられるコンテンツ・タイプと異なる場合、および拡張子が「QNI : File Extension / Content Type Verification Exclusions」リファレンス・セットに含まれていない場合にトリガーされます。 例えば、ファイル拡張子 .txt は通常 デフォルトでは、このルールはオフェンスを作成しません。 このルールをトリガーしたフローを表示するには、「File Extension / Content Type Mismatches」検索を使用します。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.1で新しく導入された、または更新されたリファレンス・データを示します。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | QNI: ファイル拡張子/コンテンツ・タイプ検証除外 (QNI: File Extension/Content Type Verification Exclusions) | 「QNI : File Extension / Content Type Verification」ルールによって検査から除外されるファイル拡張子が含まれます。 このリファレンス・セットには、4 つの項目が事前に定義されています。 |
| セットのリファレンス・マップ | QNI-Extension-ContentType-Pairs | ファイル拡張子を、予期されたコンテンツ・タイプにマップします。 このセットのリファレンス・マップには、1227 個の項目が事前に定義されています。 例えば、.html は text/htmlにマップされます。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.1で新しく導入された、または更新された保存済み検索を示します。
| 名前 | 説明 |
|---|---|
| ファイル拡張子/コンテンツ・タイプの不一致 | 「QNI : File Extension / Content Type Verification」ルールをトリガーしたフローを表示します。 |
IBM QRadar Network Insights コンテンツ拡張 1.5.0
IBM QRadar Network Insights コンテンツ拡張 1.5.0 は、 QRadar Network Insights 7.3.2 以降をサポートします。
次の表に、 IBM QRadar Network Insights コンテンツ拡張 1.5.0で削除されたカスタム・プロパティーを示します。
| 名前 | 最適化済み | キャプチャー・グループ | 正規表現 |
|---|---|---|---|
| Reject Code | はい | 1 | Reject=([0-9]+) |
| Recipient User | はい | 1 | <([A-Za-z0-9._+\-]+@[A-Za-z0-9.\-]+)> |
isReply カスタム AQL 関数は、 IBM QRadar Network Insights コンテンツ拡張 1.5.0で削除されました。
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0のルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | QNI : Access to Improperly Secured Service - Certificate Expired | ルール応答から UBA エレメントを削除し、応答リミッターを変更し、ディスパッチされたイベントの下位カテゴリーを更新しました。 |
| ルール | QNI : Access to Improperly Secured Service - Certificate Invalid | ルール応答から UBA エレメントを削除し、応答リミッターを変更し、ディスパッチされたイベントの下位カテゴリーを更新しました。 |
| ルール | QNI : Access to Improperly Secured Service - Self Signed Certificate | ルール応答から UBA エレメントを削除し、応答リミッターを変更し、ディスパッチされたイベントの下位カテゴリーを更新しました。 |
| ルール | QNI : Access to Improperly Secured Service - Weak Public Key Length | ルール応答から UBA エレメントを削除し、応答リミッターを変更し、ディスパッチされたイベントの下位カテゴリーを更新しました。 |
| ルール | QNI: Confidential Content Being Transferred to Foreign Geography | ルールの応答から UBA エレメントが削除され、応答リミッターが変更されました。 |
| ルール | QNI: ファイル拡張子/コンテンツ・タイプの検証 | このルールは、ファイル拡張子が、その拡張子で通常受け入れられるコンテンツ・タイプと異なる場合にトリガーされます。 |
| ルール | QNI : Observed File Hash Associated with Malware Threat | ルールの応答から UBA エレメントが削除され、応答リミッターが変更されました。 |
| ルール | QNI: 複数のホストで同じ脅威が検出されました | QNI : Observed File Hash Seen Across Multiple Hosts から名前が変更され、ルールの応答から UBA エレメントが削除され、応答リミッターが変更されました。 |
| ルール | QNI: 疑わしい Web サイト・アクセス | このルールは、X-Force ® によって疑わしいと分類された Web サイトがアクセスされたときにトリガーされます。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0で削除されたルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 |
|---|---|
| ビルディング・ブロック | BB:CategoryDefinition:電子メール受信拒否 |
| ビルディング・ブロック | BB:HostDefinition: Mail Servers |
| ビルディング・ブロック | BB:HostReference: Mail Servers |
| ビルディング・ブロック | BB:PortDefinition: Mail Ports |
| ルール | UBA : QNI - 機密コンテンツの外国地域への転送 |
| ルール | UBA : QNI - Potential Spam/Phishing Subject Detected from Multiple Sending Servers |
| ルール | UBA : QNI - Potential Spam/Phishing Attempt Detected on Rejected Email Recipient |
| ルール | UBA : QNI - Observed File Hash Associated with Malware Threat |
| ルール | UBA : QNI - Observed File Hash Seen Across Multiple Hosts |
| ルール | UBA : QNI - Access to Improperly Secured Service - Weak Public Key Length |
| ルール | UBA : QNI - Access to Improperly Secured Service - Certificate Invalid |
| ルール | UBA : QNI - Access to Improperly Secured Service - Certificate Expired |
| ルール | UBA : QNI - Access to Improperly Secured Service - Self Signed Certificate |
| ルール | QNI: 複数の送信サーバーからの潜在的なスパム/フィッシングの件名が検出されました |
| ルール | QNI : Potential Spam/Phishing Attempt Detected on Rejected Email Recipient |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0のレポートを示しています。
| レポート名 | 検索名と依存関係 |
|---|---|
| コンテンツ・タイプ別のユーザー・ファイル転送 (QNI) | コンテナーのサイズ制限を更新しました。 |
| Top Phishing Subjects by Recipient User (QNI) | 説明を追加しました。 |
| Top Malware by Asset (QNI) | ウィザードに説明とチェック・マークが付いていないレポート即時実行が追加されました。 |
| Malware Distribution by File (QNI) | ウィザードに説明とチェック・マークが付いていないレポート即時実行が追加されました。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0のリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| セットのリファレンス・マップ | QNI-Extension-ContentType-Pairs | ファイル拡張子を、予期されたコンテンツ・タイプにマップします。 セットのリファレンス・マップには、1218 の項目が事前に取り込まれています。 (例: .htmlは テキスト/htmlにマップされます。) |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0の保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| File Transfer by Originating User and Content Type | デフォルトで共有される検索パラメーターを更新しました (「HTTP Response Code」のチェックが削除されました)。 |
| File Transfer by Source IP and Content Type | デフォルトで共有される検索パラメーターを更新しました (「HTTP Response Code」のチェックおよび「Originating User」のチェックが削除されました)。 |
| Malware by Hash and Source Asset | 結果の制限の数を更新しました。 |
| Malware Traffic Summary | AQL 照会で参照されるルール名が更新されました。 |
| Phishing Subjects by Recipient User | 検索がデフォルトで共有されるようになりました。 |
IBM QRadar Network Insights コンテンツ拡張 1.4.0
IBM QRadar Network Insights コンテンツ拡張 1.4.0 は、 QRadar Network Insights 7.3.0 以降をサポートします。
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.4.0のカスタム AQL 関数を示しています。
| 名前 | 説明 |
|---|---|
| isReply | ストリングが応答 E メールの標準的な件名である場合、true または false を戻します。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.4.0のルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB: Category Definition: Countries/Regions with Restricted Access | このビルディング・ブロックを編集して、通常は企業へのアクセスが許可されない地理的位置を含めます。 これを構成した後、「Confidential Content Being Transferred to Foreign Geography」ルールを有効にすることができます。 |
| ルール | QNI: 海外地域への機密コンテンツの転送 | アクセスが制限された国/地域に転送されている機密コンテンツを検出します。 |
| ルール | UBA : QNI - 機密コンテンツの外国地域への転送 | 「QNI: Confidential Content Being Transferred to Foreign Geography」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。 |
| ルール | UBA : QNI - Potential Spam/Phishing Subject Detected from Multiple Sending Servers | 「QNI: Potential Spam/Phishing Subject Detected from Multiple Sending Servers」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。 |
| ルール | UBA : QNI - Potential Spam/Phishing Attempt Detected on Rejected Email Recipient | 「QNI: Potential Spam/Phishing Attempt Detected on Rejected Email Recipient」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。 |
| ルール | UBA : QNI - Observed File Hash Associated with Malware Threat | senseValue が割り当てられた「QNI: Observed File Hash Associated with Malware Threat」ルールに基づいて、User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。 |
| ルール | UBA : QNI - Observed File Hash Seen Across Multiple Hosts | senseValue が割り当てられた「QNI: Observed File Hash Seen Across Multiple Hosts」ルールに基づいて、User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。 |
| ルール | UBA : QNI - Access to Improperly Secured Service - Weak Public Key Length | 「QNI: Access to Improperly Secured Service - Weak Public Key Length」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。 |
| ルール | UBA : QNI - Access to Improperly Secured Service - Certificate Invalid | 「QNI: Access to Improperly Secured Service - Certificate Invalid」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。 |
| ルール | UBA : QNI - Access to Improperly Secured Service - Certificate Expired | 「QNI: Access to Improperly Secured Service - Certificate Expired」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。 |
| ルール | UBA : QNI - Access to Improperly Secured Service - Self Signed Certificate | 「QNI: Access to Improperly Secured Service - Self Signed Certificate」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.4.0のレポートを示しています。
| レポート名 | 検索名と依存関係 |
|---|---|
| コンテンツ・タイプ別のユーザー・ファイル転送 | 保存済み検索: 「File Transfer by Originating User and Content Type」および「File Transfer by Source IP and Content Type」 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.4.0の保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| File Transfer by Originating User and Content Type | このログおよびネットワーク・アクティビティー検索では、送信元のユーザーおよびコンテンツ・タイプでファイル転送が照合されます。 |
| File Transfer by Source IP and Content Type | このログおよびネットワーク・アクティビティー検索では、送信元 IP アドレスおよびコンテンツ・タイプでファイル転送が照合されます。 |
IBM QRadar Network Insights コンテンツ拡張 1.3.0
IBM QRadar Network Insights コンテンツ拡張 1.3.0 では、 QRadar バージョン 7.3.0 以降のサポートが追加されています。 以前のバージョンの QRadar Network Insights コンテンツ拡張のカスタム・プロパティーは、type-length-value (TLV) フィールドになりました。 これらの TLV フィールドに対する変更は、このコンテンツ拡張の更新ではなく、 QRadar の更新によるものです。
IBM QRadar Network Insights コンテンツ拡張 1.2.2
IBM QRadar Network Insights コンテンツ拡張 1.2.2 は、既存のカスタム・フロー・プロパティーのデフォルト・カテゴリーを設定することでパフォーマンスを向上させます。 ニーズに合わせてカスタム・プロパティーのカテゴリーを変更できます。
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.2.2のカスタム・プロパティーを示しています。
| カスタム・プロパティー | デフォルトのカテゴリー |
|---|---|
| Content Subject |
|
| File Hash |
|
| ファイル名 |
|
| Recipient Users |
|
| アクション |
|
| Content_Type |
|
| DNS_Query_String |
|
| DNS_Response_String |
|
| File_Size |
|
| HTTP ホスト |
|
| HTTP リファラー |
|
| HTTP 応答コード |
|
| HTTP Server |
|
| HTTP User-Agent |
|
| HTTP Version |
|
| IP_Dest_Reputation |
|
| Originating_User |
|
| パスワード |
|
| Request_URL |
|
| SMTP HELO | メール |
| Search_Arguments |
|
| Suspect_Content |
|
| Web_Categories |
|
IBM QRadar Network Insights コンテンツ拡張 1.2.0
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.2.0のカスタム・プロパティーを示しています。
| 名前 | 正規表現 |
|---|---|
| File_Size | フィールド・タイプを英数字から数字に変更するように「File_Size」カスタム・プロパティーが更新されました。 この更新により、「送信元のペイロード」と「宛先のペイロード」の両方のカスタム・プロパティーの最適化も実行されます。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.2.0のルールを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ルール | Potential Spam/Phishing Attempt Detected on Rejected Email Recipient | 「検出されたイベントをオフェンスの一部にする」を選択するようにルール・アクションが更新されました。 1.1.0 ではこのチェック・ボックスは選択されていませんでしたが、1.2.0 ではオフェンスが作成されるようにこれを修正しています。 |
| ルール | Access to Improperly Secured Service - Certificate Invalid | 無効な証明書を使用している SSL/TLS セッションを検出します。 |
| ルール | Access to Improperly Secured Service - Weak Public Key Length | 弱い公開鍵の長さを使用している SSL/TLS セッションを検出します。 |
| ルール | Access to Improperly Secured Service - Certificate Expired | 有効期限が切れた証明書を使用している SSL/TLS セッションを検出します。 |
| ルール | Access to Improperly Secured Service - Self Signed Certificate | 自己署名証明書を使用している SSL/TLS セッションを検出します。 |
IBM QRadar Network Insights コンテンツ拡張 1.1.0
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0のカスタム・プロパティーを示しています。
| 名前 | 正規表現 |
|---|---|
| Content Subject | IBM¥(SUBJECT¥)=([^;]+); |
| File Hash | IBM\(HTTP_FILES_CKSUM\)=0x([^;]+); |
| ファイル名 | IBM¥(CONTENT_FILE_NAME¥)=([^;]+); |
| 拒否コード (Reject_Code) | Microsoft Exchange、 Linux® OS、Solaris OS、および Barracuda Spam and Virus Firewall 用の複数の正規表現。 |
| 受信者ユーザー | Microsoft Exchange、Linux OS、Solaris OS、および Barracuda Spam and Virus Firewall 用の複数の正規表現。 |
| Recipient Users | IBM¥(DEST_USER_LIST¥)=¥(([^)]+)¥); |
| アクション | IBM¥(APP_ACTION¥)=([^;]+); |
| Content_Type | IBM¥(HTTP_CONT_TYPE¥)=([^;]+); |
| DNS_Query_String | IBM¥(DNS_QUERY_SDATA¥)=¥(([^)]+)¥); |
| DNS_Response_String | IBM¥(DNS_RESP_SDATA¥)=¥(([^)]+)¥); |
| File_Size | IBM¥(HTTP_FILES_SIZE¥)=([^;]+); |
| HTTP ホスト | IBM¥(HTTP_HOST¥)=([^;]+); |
| HTTP リファラー | IBM¥(HTTP_REFER¥)=([^;]+); |
| HTTP 応答コード | IBM¥(HTTP_RETURN_CODE¥)=([^;]+); |
| HTTP Server | IBM¥(HTTP_SRV¥)=([^;]+); |
| HTTP User-Agent | IBM¥(HTTP_UA¥)=([A-Za-z0-9¥s¥-_.,:;()/¥¥]+); |
| HTTP Version | IBM¥(HTTP_VRS¥)=HTTP/([^;]+); |
| IP_Dest_Reputation | IBM¥(IP_DST_REP¥)=([^;]+); |
| Originating_User | IBM¥(ORIG_USER¥)=([^;]+); |
| パスワード | IBM¥(ACTPASSWD¥)=([^;]+); |
| Request_URL | IBM¥(REQ_URL¥)=([^;]+); |
| SMTP HELO | IBM¥(SMTPHELO¥)=([^;]+); |
| Search_Arguments | IBM¥(HTTP_SEARCH_ARGS¥)=([^;]+); |
| Suspect_Content | IBM¥(SUSPECT_CONT_LIST¥)=¥(([^)]+)¥); |
| Web_Categories | IBM¥(HTTP_CONT_CATEGORY_LIST¥)=¥(([^)]+)¥); |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0のルールおよびビルディング・ブロックを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| ビルディング・ブロック | BB:HostDefinition: Mail Servers | |
| ビルディング・ブロック | BB:HostReference: Mail Servers | |
| ビルディング・ブロック | BB:PortDefinition: Mail Ports | |
| ビルディング・ブロック | BB:CategoryDefinition:電子メール受信拒否 | |
| ルール | Observed File Hash Associated with Malware Threat | フロー・コンテンツに含まれているファイル・ハッシュが、Threat Intelligence データ・フィードに含まれている既知の有害なファイル・ハッシュと一致する場合にそれを検出します。 これは、何者かがネットワーク経由でマルウェアを転送したことを示しています。 |
| ルール | Observed File Hash Seen Across Multiple Hosts | マルウェアに関連付けられているのと同じファイル・ハッシュが複数の宛先に転送されていることを検出します。 |
| ルール | Potential Spam/Phishing Attempt Detected on Rejected Email Recipient | 存在しない受信者アドレス宛てに送信され、拒否された E メール・イベントがシステム内で発生したことを検出します。これは、スパムまたはフィッシングが試行されたことを示している可能性があります。 組織に関連する QID を含めるように、「BB:CategoryDefinition: Rejected Email Recipient」ビルディング・ブロックを構成します。 モニター用の QID (Microsoft Exchange、 Linux OS (sendmail を実行)、Solaris オペレーティング・システム Sendmail ログおよび Barracuda Spam & Virus Firewall) が取り込まれます。 |
| ルール | Potential Spam/Phishing Subject Detected from Multiple Sending Servers | 複数の送信サーバーが、一定時間内に同じ件名の E メールを送信したことを検出します。これはスパムまたはフィッシングを示している可能性があります。 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0の保存済み検索を示しています。
| 名前 | 説明 |
|---|---|
| Malware Distribution by File and Hash | |
| Malware by Hash and Source Asset | |
| Malware Traffic Summary | |
| Phishing Subjects by Recipient User |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0のレポートを示しています。
| レポート名 | 検索名と依存関係 |
|---|---|
| 受信者ユーザー別の上位フィッシング・サブジェクト (QNI)-週次 | |
| 上位のマルウェア (資産別) (QNI)-日次 | |
| ファイル別マルウェア分布 (QNI)-日次 |
次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0のリファレンス・データを示しています。
| タイプ | 名前 | 説明 |
|---|---|---|
| リファレンス・セット | Malware Hashes SHA | |
| リファレンス・セット | Malware Hashes MD5 | |
| リファレンス・セット | Phishing Subjects | |
| リファレンス・セット | メール・サーバー |